Comparaison entre eduspot (fédération d'identités) et eduroam pour une authentification réseau nomade inter établissements

Eduspot et eduroam sont deux services utilisables par la communauté enseignement supérieur pour gérer l'accès nomade inter établissements.

Cette page compare l'intérêt et les différences de ces deux solutions pour un établissement.

Présentation d'eduroam

Le service eduroam.fr vise à offrir un accès sans fil sécurisé à l'Internet, aux personnels des établissements d'enseignement supérieur et de recherche lors de leurs déplacements, à une échelle nationale ou internationale.

L'infrastructure d'authentification mise en place s'appuie sur la norme 802.1X et utilise le protocole RADIUS. Le déploiement de ce service est subordonné à l'acceptation de la charte “eduroam.fr” et du respect des spécifications techniques.

Présentation de la fédération d'identités

eduspot est un ensemble de bonnes pratiques (utilisation d'un SSID commun, ouverture de ports standards, reconnaissance de tous les fournisseurs d'identités). Les portails captifs utilisent la fédération d'identités pour l'authentification des utilisateurs.

La fédération Education-Recherche est un cercle de confiance établissant des règles organisationnelles communes, un jeu d'attributs partagés et l'utilisation de briques technologiques inter opérables. Elle est utilisable pour sécuriser l'accès à des ressources accessibles via le web et partagés entre plusieurs établissements, à l'échelle locale (régionale par ex.) ou nationale. On peut l'utiliser, entre autres, pour de l'accès réseau nomade inter établissements via portail captif.

Différences

  • eduroam n'est utilisé que pour authentifier le nomade afin de lui autoriser une connexion réseau, tandis que la fédération d'identités permet l'accès à tout type de ressources web et permet en plus d'obtenir des attributs sur les utilisateurs ;
  • la charte d'eduroam préconise de ne faire aucun filtrage de protocoles en sortie et contraint au minimum les établissements à garantir l'utilisation de certains services tels que la messagerie, SSH, VPN… Eduspot préconise l'ouverture des ports pour un certains nombre de protocoles sécurisés (HTTPS, SMTP/TLS, IMAPS, etc) et HTTP ;
  • eduroam a une échelle nationale, européenne voir internationale, tandis que la fédération ne couvre qu'une échelle nationale ou régionale. Le service edugain vise à mettre en place une fédération à l'échelle européenne ;
  • le niveau de sécurité d'eduroam est globalement plus élevé que celui d'un accès via portail captif dans la fédération, car avec eduroam tous les flux entre le poste client et la borne Wi-Fi sont chiffrés ;
  • sur le poste client (portable), eduroam nécessite la configuration d'un client 802.1X (exemple de documentation de configuration), tandis que pour eduspot il n'y a aucune configuration préalable, un simple navigateur suffit.

Lequel utiliser ?

eduroam est par exemple très bien adapté pour une population maîtrisant son poste client (portable), nécessitant un niveau de sécurité et de services élevé, qui ont vocation à se déplacer à l'étranger, typiquement des chercheurs.

L'utilisation de eduspot pour l'accès nomade inter campus peut être suffisant pour une large population dont on maîtrise peu les portables, par exemple les étudiants.

Il est possible d'utiliser les deux technologies dans le même établissement.

Le projet DAME vise à faire converger les deux technologies.